iT邦幫忙

0

一顆Switch接2個Firewall會有問題嗎??

WAN 172是SERVER網段,LAN 192是USER網段
假設一個區網內有2個Firewall,而LAN都接在同一顆Switch,各自都有開啟DHCP功能
A-Firewall,WAN 172.16.43.2,LAN 192.168.1.254,DHCP 1~50
B-Firewall,WAN 172.16.43.3,LAN 192.168.1.253,DHCP 51~100
會這樣做是因為A-Firewall效能不足,當有USER用"有線網路"複製10GB資料到172網段 Fire SVR頻寬就會占用,影響其他使用者!!

現在想要將A-Firewall專門給無線網路用,用無線網路的電腦會抓到A-Firewall的IP
而B-Firewall(效能較佳)專門給有線網路用,用有線網路的電腦會抓到B-Firewall的IP
請問這樣的作法會不會有問題,或者會造成區網或Switch異常還是網路封包碰撞異常呢??
請大家指導~謝謝

看更多先前的討論...收起先前的討論...
外獅佬 iT邦大師 1 級 ‧ 2015-06-08 17:18:22 檢舉
兩個DHCP會互搶生意的....汗
修正最後會把A跟B FIREWALL的SWITCH各自獨立!!3Q
外獅佬 iT邦大師 1 級 ‧ 2015-06-08 17:38:15 檢舉
汗...這樣...兩個DHCP還是串在同一個子網路下了啊...汗
mytiny iT邦大師 1 級 ‧ 2015-06-08 18:16:23 檢舉
直接回報版大,絕對有問題
而且你對網路的觀念應該也不清楚
給點數0點,會讓其他想幫忙的人無力

嘆氣
yesongow iT邦大師 1 級 ‧ 2015-06-08 21:44:52 檢舉
既然Firewall-A的效能不好,則Firewall-A的LAN應該接Thin-AP即可,
不用再將Thin-AP去接192.168.xx網段的Switch
--
如果Firewall-A的LAN有接Switch,則建議透過Thin-AP連線的無線設備MAC清單
加入Firewall-A的DHCP Spool
而Firewall-B的DHCP Spool,也是使用綁定桌機MAC,以防無線設備來索取IP
是沒錯~
可是配發的DHCP不重複,也不行囉??
感謝回覆~
感謝回覆~
外獅佬 iT邦大師 1 級 ‧ 2015-06-09 09:01:42 檢舉
電腦『真的』沒那麼聰明
2台dhcp都發出命令說:接收我的ip
請問,電腦該聽誰的?
電腦抓DHCP不是先抓到那一個,就會用那一個
基本上應該不會一直換來換去才對(我的認知)
感謝~
外獅佬 iT邦大師 1 級 ‧ 2015-06-09 09:22:57 檢舉
好吧...就這樣了...no reply謝謝
我們公司也是類似的網路架構,不過DHCP只有設在其中的一台。
另外你需要手動設定路由表,要不然可能會出現一堆怪問題....
我的想法
將所有無線AP線路都接到Firewall-A(效能不足)的SWITCH上,只要是用無線網路都是透過Firewall-A到172SERVER網段,
而Firewall-B都是桌機走實體線路,這樣是否可行
謝謝你~
我的想法
將所有無線AP線路都接到Firewall-A(效能不足)的SWITCH上,只要是用無線網路都是透過Firewall-A到172SERVER網段,
而Firewall-B都是桌機走實體線路用
這樣是否可行呢,謝謝你~
可以請問設定路由表的目的是??不設定路由表會有什麼樣的問題呢~謝謝
yesongow iT邦大師 1 級 ‧ 2015-06-09 10:44:26 檢舉
將數台Thin-AP的Lan孔,去接Firewall-A的專屬Switch
而無線設備應該不需要去使用(辦公室印表機)吧?
因為辦公室印表機應該屬於Firewall-B的(有線網路switch)喔!
對厚~這樣無線網路會無法列印印表機,謝謝提醒
fz500 iT邦新手 4 級 ‧ 2015-06-09 14:16:57 檢舉
基本上只要線路有串在一起就只能有一台DHCP Server來發送IP,架構上也怪怪的~應該很少人會這樣用吧,還是你指的Firewall是指IP分享器,那就另當別論了,一般不要太差的Firewall應該是有DMZ這種設計才對。
李大瑋 iT邦研究生 3 級 ‧ 2015-06-09 14:17:31 檢舉
想給外獅佬一個讚
可是找不到
這是公司先期的規劃,應用上感覺就是DMZ
Firewall-A品牌是4ipnet
公司最早會買他,是因為他有1個功能是如電腦MAC沒設定在Firewall-A,他就無法到172網段,另一個方式也可以到172網段,就是透過網頁輸入帳號密碼認證通過也可以到172網段(Firewall-A沒設定該電腦MAC),
運用:1.是讓來賓使用上網(我們無線都沒設密碼)2.我想應該是資安考量
一般Firewall是沒設定MAC進去就不能通,但它可以透過網頁認證
fz500 iT邦新手 4 級 ‧ 2015-06-09 17:38:49 檢舉
基本上你們等於把內網和SERVER分離,把SERVER當成外網用,將Firewall上設置MAC過濾及網頁認証設置沒通過的出不去的意思,建議你們還是重新規畫一下嘍,這樣用太怪了,且效能一定差的。
公司喜歡Firewall-A網頁認証功能
剛到知道這個網路架構我也覺得很奇怪!!
是有考慮將Firewall-A拿掉,將PC網段變成172,無線AP設密碼,問題應該就解決ㄌ
可是Firewall-A網頁認証功能也不需要ㄌ,公司不知O不OK,唉~
oscarbird iT邦新手 5 級 ‧ 2015-06-10 11:20:19 檢舉
感覺得你們server都在dmz區,我覺得應該是要拆成二部份,對外的Server放在172的網段,對內的放在192的網段,DHCP Server我習慣用主機來做,也許用ad Server來做,比較不建議用Firewall來做!
Firewall還是單純做Firewall的事就好!!
你試著把兩邊的路由表寫出來看看..
一個是
0.0.0.0 0.0.0.0 192.168.1.253
192.168.1.0 255.255.255.0 192.168.1.253

另一個是
0.0.0.0 0.0.0.0. 192.168.1.254
192.168.1.0 255.255.255.0 192.168.1.254

你覺得,你上面的東西如果同時發現到這兩個路由表的時候,他會怎麼了....
你不要忘記了,你的172.16.43.x是在同一個網段喔!
oscarbird提到:
DHCP Server

我的建議...
在有AD Server環境中,最好是讓DNS Server去負擔DHCP Server的工作,這樣在DHCP Server配發IP之後,還可以直接做DNS的解譯與反登錄動作,這樣的速度在AD的環境某些事情反應會快很多,如果可能還能順便將WINS結合在一起..不過如果沒有,其實FirwWall來負擔DHCP Server也不是不行,就要看你的應用是什麼,FireWall去負擔DHCP Server也有好處,某些FireWall在DHCP上會有一些比較特殊強化的功能,而且在FireWall將DCHP與MAC結合,會有一些意想不到的應用出現。
poiu124pat提到:
我的建議...

順便補充一下以前Microsoft的文件,有比較多的說明:
https://technet.microsoft.com/zh-tw/library/cc771732.aspx
整合 DHCP 與 DNS
蟹老闆 iT邦大師 1 級 ‧ 2015-06-11 12:28:45 檢舉
raja49648473提到:
當有USER用"有線網路"複製10GB資料到172網段 Fire SVR頻寬就會占用,影響其他使用者!!

假設你的設備沒問題(我認為)!!那你搞錯方向了,問題在檔案伺服器的磁碟存取能力不是在Firewall,我還沒買過背板頻寬小於總PORT數的Firewall.

raja49648473提到:
修正最後會把A跟B FIREWALL的SWITCH各自獨立!!

環境允許可以這麼做,但使用者不是要取存 (Fire SVR?)File Server?這樣做只會造成你更多的困擾.
多來IT邦可以學到不少知識,繼續充實.....
有確定是Firewall-A效能不足,因USER複製大檔案當下,所有USER會不能到172其他主機,Firewall-A無法進到管理介面,所以目前是將Firewall-A做頻寬上傳下載流量限制(當然使用複製資料就會較慢囉,冏...),所以才想改善~
蟹老闆 iT邦大師 1 級 ‧ 2015-06-12 12:22:02 檢舉
raja49648473提到:
Firewall-A無法進到管理介面

Firewall 是不是壞了? 這麼不耐操
了解~感謝!感謝!
多謝建議幫忙!!
或許他稱不上FIREWALL吧??
http://4ipnet.blogspot.tw/
2
cysmis02
iT邦新手 4 級 ‧ 2015-06-09 10:03:39

說真的,看不太懂你為什麼要架兩台F.w,是UTM拿來做Route使用?撇開這個問題,你這樣的作法本身兩邊就容易互相影響,我從Client端要Copy資料,要使用Switch然後到g.w(firewall ?)再把封包丟過去另外一台F.w,再給你的Server,這樣怎麼會順勒...

目前架構只有firewall-A,現在想做改善,所以想問加firewall-B會不會有其他問題
firewall-A是公司先期的規劃,Firewall-A品牌是4ipnet
公司最早會買他,是因為他有1個功能是如電腦MAC沒設定在Firewall-A,他就無法到172網段,另一個方式也可以到172網段,就是透過網頁輸入帳號密碼認證通過也可以到172網段(Firewall-如沒設定該電腦MAC就是用網頁認證),
運用:1.是讓來賓使用上網(我們無線都沒設密碼)2.我想應該是資安考量
PS.一般Firewall是沒設定MAC進去就不能通,但4ipnet它可以透過網頁認證做放行通過

0
shinyyork
iT邦新手 4 級 ‧ 2015-06-11 09:09:01

這種架構因該不會有問題~ 只是個人認為這樣解決不了你的問題! 還不如買台QoS設備來做load balance! 因為你並沒有把"特定流量"從B導出!

因為你都是用dhcp派送,正常是dhcp reply先到先用,用滿才會派到第二台! 如果你的switch是layer3 ,那就可以用靜態入由 針對特定policy去做分流!

說得沒錯,有推薦的品牌嗎!!

shinyyork iT邦新手 4 級 ‧ 2018-10-08 15:40:29 檢舉

F5 LTM或A10 ,便宜的我覺得ascenlink 還不錯,設定簡單容易懂!

0
fw1993
iT邦新手 5 級 ‧ 2017-11-02 15:20:21

這個應該簡單的設定一下使用者的頻寬管理就OK了~
Ex: 使用者頻寬限制為300Mbps,
這樣即使有人在上傳大檔案,也會被限制在固定的速率,
不會影響到其他人員的使用。

給您參考~

我要發表回答

立即登入回答